微软IIS6.0旧漏洞再被用来挖矿

安全研究人员发现一个被揭露1年多的微软Internet Information Services (IIS) 6.0旧漏洞，再度成为骇客用以挖矿的目标。

F5研究人员最近发现，微软编号CVE–2017–7269的漏洞被骇客团队开采来挖Electroneum币。去年3月，这项漏洞首度被揭露，同年11月安全公司ESET则发现有骇客组织Lazarus散布恶意程式来挖Monero币。一般相信Lazarus背后获得北朝鲜政府资助。

IIS 6.0主要是Windows Server 2003的服务，微软在2016年正式终止对Server 2003的所有支援，可以说成了软件孤儿。

最新的攻击中，骇客使用名为Squiblydoo的手法，为躲避软件白名单过滤，利用合法的Microsoft binary程式regsvr32.exe，下载并执行包含VBScript指令行的XML档案。其中的执行档，为32-bit的采矿程式XMRing，等它成功进入IIS服务器后，骇客就利用多个矿池来挖Electroneum币。

研究显示，恶意程式来源为中国联通位于北京的某台服务器，锁定中国及美国的Windows IIS服务器下手。根据发现的钱包显示目前骇客得手的金额不高，只有99美元，研究人员认为这若不是因为骇客不定期变更钱包位址，就是可用的IIS 6.0服务器还不够多。

但研究人员仍然指出，这波攻击还是显示有许多系统未修补这个已宣布EOL（End of Life，产品生命周期终止）的操作系统上、揭露已经一年的漏洞，因此建议最好抛弃已经EOL的操作系统，否则就不要让这些系统连上公开网络。